Как защитить крипту и свои данные от хакеров и мошенников

За 2021 год криптомошенники похитили 14 млрд долларов, сообщает CNBC, ссылаясь на доклад аналитической компании Chainalysis. И по сравнению с 2020 годом сумма украденных цифровых активов выросла на 516%, до $3,2 млрд. И вероятно, такие показатели будут только расти.

Мы решили составить список вариантов, которые помогут защитить криптовалюту и данные в аккаунтах на платформах. Эффективность этих методов оценил для нас эксперт по криптовалюте и блокчейн-технологиям Михаил Худокормов.

Немного предыстории

Согласно отчету Chainalysis, больше всего преступлений с криптой приходится на мошенничество, затем идут кражи, чаще всего — из-за взлома блокчейн-проектов. Одной из основных причин роста криминальной активности в криптосфере, по мнению аналитиков, стало развитие децентрализованных финансов (DeFi). Например, в 2021 году объем операций там увеличился на 912%. При этом многие из DeFi-проектов имеют уязвимости, отметили в Chainalysis.

Также в докладе аналитической компании указано, что в криптосфре распространен шантаж, программы-вымогатели и фишинг. Яркими примерами таких преступлений стали взлом хакерами сайта Bitcoin.org и атака вируса-вымогателя WannaCry в 2017 году. В апреле мы подробно рассказывали о мутных историях и махинациях с криптой. А теперь изучим варианты защиты.

Способы защиты от хакеров и мошенников

Платформы с KYC и борьба с SIM-своппингом

Несмотря на то, что многие криптовалютчики не любят процедуру KYC, она во многом помогает обезопасить себя от мошенников во время транзакций. Благодаря ей снижается риск наткнуться на поддельные аккаунты с украденной личной информацией.

При этом некоторые ресурсы рекомендуют еще использовать двухфакторную аутентификацию и использовать при регистрации на бирже новый пароль, отличный от пароля для e-mail. Это поможет обезопасить ваши сбережения, но только в случае, если хакеры не выяснили вашу личную информацию. Пароли более уязвимы для взлома из-за различных вирусов и программ-вымогателей.

А еще есть SIM-своппинг. Злоумышленники узнают номер телефона, сообщают о потере симки (из-за чего блокируется номер), а затем переводят номер на свою SIM-карту, получая доступ к сведениям чужого аккаунта. Тут лекарство одно — оформить отдельную симку именно для регистрации на биржах и работы с криптой. В обычной жизни вы не будете использовать номер для заказа пиццы или оплаты подписок, а значит он мало где засветиться.

Еще важно не хранить пароли и сид-фразы в облачных сервисах, например, в Google Docs. Если вашу почту взломают, то получат доступ и к криптокошелькам.

Не торгуйте за пределами проверенных площадок и централизованных криптобирж типа Binance

Тут речь может идти о DEX-биржах или обменниках, где нет посредника между пользователями. Поэтому там и комиссия за операции ниже. Однако некоторые грешат на то, что там с большей вероятностью можно нарваться на мошенников, поскольку не все из DEX-бирж требуют проходить KYC.

Обращаетесь только к проверенным P2P-мерчантам

Обычно речь идет о P2P-мерчантах на централизованных криптобиржах типа Binance. Их можно вычислить по желтому значку рядом с именем. Такие пользователи проходят дополнительную проверку на надежность, в том числе изучается их торговый опыт, репутация и отзывы пользователей. С надежным мерчантом можно торговать спокойно, но не соглашайтесь на сделки, если человек говорит, что мерчант, но без опознавательных знаков.

Используйте антивирус в борьбе с программами-вымогателями

«Вымогатели» шифруют данные на устройстве, например, на ноутбуке, и соглашаются вернуть доступ к ним только в случае перевода определенной суммы мошеннику. Вредоносные программы распространяются через электронную почту или (не)навязчивую рекламу.

Поэтому важно не открывать письма, если не уверены в их «чистоте», и не кликать на броские баннеры или скандальные новости. Если вы подхватили вредоносную программу, то противостоять ей сможет соответствующий антивирус. И еще один способ обезопасить свои данные, чтобы не пришлось вести переговоров с преступниками — делать резервное копирование информации на внешнем жестком диске (облако могут взломать).

Не переходите на странные ссылки, не отвечайте на подозрительные SMS и e-mail

Фишинговые сайты — один из любимых способов хакеров добраться до конфиденциальных данных пользователей. Они создают страницу, которая очень напоминает, например, сайт биржи. Но указав там логин и пароль, вы собственноручно передаете данные злоумышленникам.

Еще не придумано каких-то универсальных способов борьбы с фишинговыми сайтами. Поэтому вариант защиты — не переходить по подозрительным ссылкам и обращать внимание на адресную строку: если у вас есть хотя бы малейшее сомнение, что url выглядит иначе, лучше перепроверить.

Отличие фишинговых сайтов в том, что там часто работают лишь некоторые окна и разделы, например, регистрация. Стоит понажимать на другие иконки и проверить функциональность сайта. В случае если все остальное на сайте пустышка, то, вероятно, тут может быть какой-то «сюрприз».

Используйте проверенные кошельки

Новые блокчейн-проекты появляются в сети как грибы, в том числе и криптокошельки (фальшивые тоже). Поэтому прежде чем регистрировать кошелек в малоизвестном приложении, потому что его создатели обещают бесплатную крипту новым пользователям, стоит проверить его историю и отзывы других клиентов. Иначе может так получится, что адрес вашего нового кошелька может оказаться адресом хакера, которому вы переводите крипту. А лучше и вовсе пользоваться кошельками проверенных блокчейн-проектов.

Не верьте обещаниям большой прибыли

Финансовые пирамиды — метод давний, но до сих пор работающий. И в крипте они тоже есть. Под видом нового блокчейн-проекта и создания токена людям обещают прибыль, потому что проект «точно должен выстрелить». А по сути, на выходе получается несуществующая крипта и убытки.

Не стоит доверять людям, которые обещают гарантированную прибыль, особенно если речь идет о крипте — нестабильном активе, курс которого ежедневно меняется. Как минимум следует изучить подноготную проекта и его создателей, над какими платформами и приложениями они уже работали. И точно не стоит сразу вкладываться в проект только потому, что его название связано с именем знаменитости (печальная история с «Бузкоином»).

Еще один способ поддержать блокчейн-проект — аирдропы, но и они могут оказаться инструментом мошенников. Привлекая пользователей на бесплатную раздачу токенов, которые в будущем «точно выстрелят», злоумышленники могут попросить указать какие-то данные по вашему кошельку, вплоть до ключа (якобы чтобы переслать вам заветные токены). А дальше у вас будет нулевой баланс счета и блокировка аккаунта. При проведении реальных аирдропов у людей не станут просить явки-пароли, максимум ник в соцсетях и электронную почту, чтобы сообщить о результатах.

Не храните деньги на биржах и других платформах

Звучит слишком просто, но это реально может спасти ваши средства от хакеров, которые задались целью взломать базу какой-то биржи. Ни двухфакторка, ни сложные пароли не помогут, если злоумышленникам удастся получить доступ к кошелькам торговой площадки. Поэтому лучше вносить на счет в аккаунт столько, сколько необходимо для операций, а основную сумму держать в отдельном кошельке-приложении, например, для смартфонов. Холодные кошельки — это уже высший пилотаж.

Мнения и комментарии

Эксперт по криптовалюте и блокчейн-технологиям Михаил Худокормов

Платформы с KYC и двухфакторная аутентификация — все еще эффективная защита от хакеров?

Во-первых, KYC намного сильнее нежели какой-то офигенно сложный пароль. KYC подтверждает, что это ты, и у тебя со стороны твоего кошелька, если ты хранишь деньги на бирже, сразу усиленная защита. А если ты двухфакторкой подтверждаешь защиту своего аккаунта, то это лишь двухфакторка. Если у тебя в телефоне половина жизни, кошелек и приложения бирж, например, Binance, Coinbase, то это не поможет. Потому что если твой номер телефона где-то всплывет, то тогда можно будет открыть и почту и сообщения, если подтверждать двухфакторкой.

Советуют не торговать на децентрализованных площадках, например, на DEX-биржах. Насколько опасны такие площадки в плане утечки информации?

Нет, это те же самые платформы, что и официальные платформы. Они отличаются лишь только тем, что за вас никто не смотрит и не решает, проводить или нет ту, или иную операцию. Только этим. На децентрализованных биржах есть те же самые варианты с KYC, которые робот подтверждает, и те же двухфакторные аутентификации.

Есть ли какие-то способы защититься от фишинговых сайтов и программ-вымогателей кроме как не переходить по странным ссылкам и установить антивирус?

По поводу антивируса я ничего не скажу, потому что я не знаю, как он определяет, фишинг это или не фишинг.

По поводу фишинга, замена адресов сейчас во всем мире распространена. Все-таки лучше заходить на официальные сайты и не верить никакой рекламе. Потому что реклама в принципе криптовалюты и кошельков запрещена в России.

Может быть, у вас есть какие-то свои лайфхаки/рекомендации, чтобы обезопасить аккаунты и крипту?

По поводу аккаунтов тут никто не застрахован от взлома, даже если есть двухфакторка, или вы прошли KYC на какой-то бирже и подтвердили, что вы это вы. Просто надо доверять тем источникам, которые вызывают доверие у вас и у всего криптосообщества. И все-таки пользоваться легальными вещами, которые признаны всем миром, а не пытаться скрывать то, что и так скрыто в самой технологии блокчейн и криптовалюте.

Есть ли у вас любимая биржа или платформа для работы с криптой?

Binance и Coinbase.

Вывод

Криптомошенничество — как бы странно это не звучало, активно развивающаяся сфера. Злоумышленники продолжают придумывать новые методы, а мы продолжаем получать новости о взломах, как это было в начале августа с кошельками на Solana. И пусть со стопроцентной гарантией обезопасить свои активы в крипте нельзя, зато можно усилить защиту средств и конфиденциальной информации и знать базовые вещи, чтобы понимать, когда вы на прицеле у мошенников и хакеров.